アプリで作成

7Payの不正クレジット使用に関するメモ SIerが抱える構造的な欠陥

7Payが「パスワード再設定画面で、誰にでも再設定メールが送れる」という信じられないセキュリティインシデントを起こしました。 個人的には、これは SIerと日本企業に関する問題が一気に露呈した気がします
161
星を見るゴリラ @pratula_twi

セブンペイ、一番あり得ないのは 社長が「セキュリティインシデント発生時の計画」がないまま記者会見に参加したこと。 これが経営者として致命的すぎる。 本来は監査部門が経営者から独立して、経営者にセキュリティ規約を守らせないといけない。 監査部門は何をやっていたのか #7pay

2019-07-04 20:09:12
星を見るゴリラ @pratula_twi

正にコレ。 こうならないためのインシデント対応計画なんだよ。 どう見ても策定してない youtu.be/3-pzOV0OLyw

2019-07-04 20:10:28
拡大
星を見るゴリラ @pratula_twi

完全にしどろもどろ。 対応計画がないのがバレッバレ

2019-07-04 20:11:09
星を見るゴリラ @pratula_twi

同じ不祥事でも 例えば車のリコールだったら 「弊社の丸々という部品に問題がありました」って発表するでしょ。 何故それが出来るかと言うと、事件が発生したときのマニュアルが設定してあるから セブンペイは何も決めてなかった

2019-07-04 20:18:13
星を見るゴリラ @pratula_twi

セブンペイについてもうちょっと書くと、これはセブンペイの問題だけじゃなくて、 SIerと仕事をする全ての企業が抱えるリスク

2019-07-04 21:35:24
星を見るゴリラ @pratula_twi

今回のインシデント。 余りにも初歩的な業務フローミス(仕様のミス)であるんだけど、 その後の対応もあり得ないレベルで失策。

2019-07-04 21:35:24
星を見るゴリラ @pratula_twi

まず、「監査部門からセキュリティについては問題なし」と念押しした。 そして「これからに関しては調査中」と繰り返した 一番あり得ない。

2019-07-04 21:35:24
星を見るゴリラ @pratula_twi

まず、インシデントが起こったとき、まず初めにするべきは影響範囲の調査と、セキュリティ計画に乗っ取ったインシデント対応。 会見では「計画のけの字」も聞かなかったぜ

2019-07-04 21:35:25
星を見るゴリラ @pratula_twi

まず、セブン&アイ・ホールディングスほどのユーザー企業なら、セキュリティ計画を実施してない訳がない。 社長は、敢えてか知らないけど、自社のセキュリティ計画すらガン無視して記者会見した

2019-07-04 21:35:25
星を見るゴリラ @pratula_twi

ガン無視したならまだいい方で、コレほど巨大なIT企業に関わらず、インシデント発生時の計画がなかった可能性がある。 ホントにあり得ない。

2019-07-04 21:35:25
星を見るゴリラ @pratula_twi

また、社長はセブンペイのシステムについてまるで知らなかった。 そして、セブンペイのシステムを作っているのは、NTT日本オラクルなど、著名なIT企業などの、その「協力会社」だという。 セブンペイのシステムを作ったのがSIerゼネコンであることは明らかだ

2019-07-04 21:35:26
星を見るゴリラ @pratula_twi

勿論、SIerで実装をしているのは偽装請負や、派遣で雇われたプログラマーである。 コレほど単純なミスを、現場のプログラマーが知らなかったわけがない。 現場プログラマーの認識が監査部門に届いていなかったのは明白だ

2019-07-04 21:35:26
星を見るゴリラ @pratula_twi

正直、この機能を作って、「他のメールアドレス入れたらどうなるんだろう」と考えない訳がない SIerゼネコンのどこかで、この問題は「顧客が求めてるんだから実装するんだよ」になったのだ

2019-07-04 21:35:26
星を見るゴリラ @pratula_twi

余談だけど、SIerゼネコンは、去年も多重請負構造が原因のセキュリティ事故を起こしてる "国税庁 240万件マイナンバー流出事故" いい加減自社でプログラマー雇え

2019-07-04 21:35:26
星を見るゴリラ @pratula_twi

コレはSIerと仕事をする全ての会社が抱えるリスク。 間違いなくコレは認識しないといけない

2019-07-04 21:35:27
星を見るゴリラ @pratula_twi

じゃあ、外国のIT企業はどうしてるのかと言うと Amazonがセキュリティではないけど、インシデントを起こした事がある。

2019-07-04 21:35:27
星を見るゴリラ @pratula_twi

ある日Amazon Web Service の北米ヴァージニア州にあるデータセンターの重要な機能(S3ストレージ)が全てダウンした。 被害額は想像もつかない

2019-07-04 21:35:27
星を見るゴリラ @pratula_twi

Amazonはこの原因を調査し北米データセンターにあるエンジニアが、間違って、特権ユーザーで、一部のサーバーをシャットダウンするつもりが、重要なサブシステムまでシャットダウンしてしまった事原因だとわかった

2019-07-04 21:35:28
星を見るゴリラ @pratula_twi

Amazonはコマンドを打つ際の規約を改訂し、二度とインシデントが起きないようにした。

2019-07-04 21:35:28
星を見るゴリラ @pratula_twi

ここで重要なのは、インシデント発生から原因特定、復旧まで4時間仕方ってないのである

2019-07-04 21:35:28
星を見るゴリラ @pratula_twi

勿論、Amazonは色んな企業に避難され、エンジニアも始末書を書くはめになったが、 AWS現在でも世界で一番儲けてるクラウドサービスである

2019-07-04 21:35:29
星を見るゴリラ @pratula_twi

ここで大事なのは、何故ここまで早い調査が出来たか、である。 勿論、エンジニアが「自分がやりました」と正直に答えたからだ

2019-07-04 21:35:29
星を見るゴリラ @pratula_twi

何故エンジニアが正直に答えられたか、 仕事を首にならないからである。 間違いは間違いなのだから、認めて、正しい仕事をすればいい

2019-07-04 21:35:29
星を見るゴリラ @pratula_twi

これが日本ではそうはいかない 日本のプログラマーはほとんど派遣か偽装請負であり、間違いを報告すると首になるのだ。 残業も増えるしな

2019-07-04 21:35:30
星を見るゴリラ @pratula_twi

セブンペイは原因は現在も調査中で、影響範囲も分からない、という。 実際に作った人が何処の誰だか分かってないのは明らかだ

2019-07-04 21:35:30
残りを読む(4)

コメント

えびやん @sionchr 2019年7月4日
サービスを提供する企業にも責任がある
6
かふぇ氷 @cafeseaside22 2019年7月4日
なるほど。説得力あるわ。
0
mikumiku_aloha @mikumiku_aloha 2019年7月4日
例外処理のルーチンを書いていないプログラムみたいなもので。
7
ばしにぃ @hiro_orso_viola 2019年7月4日
そもそもセブン&アイHDってISOとかISMSとかやってないんか?
6
案山子 @Scarecrow_AP 2019年7月4日
「2020年までに運用実績を作っておきたい」+「7/11に稼動状態にしておきたい」=「2019年7月1日に見切り発車」な予感がしない訳でもない
27
胡桃澤 奈波 @nowkogami 2019年7月5日
例外処理のないプログラムと一緒、これやね
0
苺花見に欲をかけたらラッキー7 @adgjmpt_1011110 2019年7月5日
どうでもいいことだけど「避難」という誤字が気になって仕方ない。
10
汝、翼を与える@ばってん先に翼ばくれんね イベント・・(出た、出たが最初から居るとまでは・・・) @ryunosinfx 2019年7月5日
アレ俺詐欺と無謬性の権化がトップに選抜される規範を抱えてるからなかなか逃れられないカルマやね。
0
K02 @Knife02 2019年7月5日
(´・ω・`)計画がないというより、「S-inだけが決まってて、運用その他は誰が計画するかも後回し」なんじゃないかな。 よくあることよ。
16
おろろ @fYe39CoQsPrbZVK 2019年7月5日
空港系のサイトの設計やった事あるけど、あるで。ただ「悪意のあるユーザ」「アクセス過多」「災害時」の想定しかなく、自分達がチンカスだった時の想定はないわ。世界中どこにもない。日本固有の上がアホで論理的な会話ができない現場のケースなんで、みんなでどうにかせんとな
22
ari3 @junki0526 2019年7月5日
結構な嘘や誤った見識ぶち込んできてるな。監査部門ってのはCSIRTのことかな?
2
usisi @usisi00 2019年7月5日
インシデントそれが分からずググった九十九人
0
usisi @usisi00 2019年7月5日
adgjmpt_1011110 復旧まで4時間"仕方ってない"も中々趣深いです
8
ニク(´・_・♡) @miquniqu 2019年7月5日
会見見ててなぜ一旦止めないんだろうと思ってたんだが、全国の店舗で同時に展開したから、止めたら止めたで各所に調整がいるんだな理解した。でもって思ったのが何故調整を「今から」する前提なのか?問題起きたときに停止する機能も運用も事前に設計されてないんだな多分。
12
オー @ohchan2016 2019年7月5日
セブン側は実際に不正をした犯人のせいにして(それは間違いでは無いけれど)、自分たちは無問題と主張しそうだな。
6
マイハイ @MaihaiStyle 2019年7月5日
junki0526 監査部門とCSIRTは別物です。
2
犬エンジニア @tada_suzu 2019年7月5日
SIerって主語がでかいなと思った。業務形態に関係なくダメな時はとことんダメですよ。
13
jk @jk_1976 2019年7月5日
間違いを報告すると首になるとか、でかい声で嘘つくとみんな信じるんだろうな
8
地銀のシステマン @chigintech 2019年7月5日
期日と案件名しか決めてないまま開発させられる名ばかりウォーターフォールの実態はアジャイル開発ばっかりだから仕方ないね。経営者が悉く無能。
4
easyiizi1111 @easyiizi1111 2019年7月5日
SIerはSIerで、過去のしがらみで存在するどうでもいい雑務が積み重なりまくって、本来重要なはずのセキュリティが「些事」になってしまってることが多い。
10
こった @l0_oxm 2019年7月5日
「主語がでかい」って言い回し、数年前から見かけるけど便利だよね。
7
phantive @phantive 2019年7月5日
実装や運用は、ベンダに依存することがあっても、これは、セブン本体の問題。 いくら自社のIT力が弱くても、基本設計の主導権は自社側。ベンダ主体となるのは、インフラ回りとかスマホアプリとか、割り当てられた部分に対して。 セブンペイという会社も実装か運用の受託レベルの役割だろう。 記者会見でのこの社長の当事者感覚は、業務委託先の責任者の雰囲気だった。
2
未詳の飛翔体2号 @tetsunotsuki2nd 2019年7月5日
[併せて読みたい] ボーイング737MAXのソフトウェア開発の一部は時給9ドルのエンジニアにアウトソーシングされていた https://srad.jp/story/19/07/03/0858233/
4
ゆうま @yuma_sai10 2019年7月5日
7Pay絡みのつぶやきとか見てると、仕様バグなのにSIerが悪い、日本がーって言ってる輩が非常に多いんだけど、SIerに親でも殺されたの?
5
RENOWAN @renowan 2019年7月5日
Scarecrow_AP 4月29日の天長節までにインパールを陥落させたい牟田口中将を思い出す
3
MR.Goat@VitualGoat @Morigori_Kazu 2019年7月5日
日本はクビにならずとも、大衆の前で激詰めのオンパレードやりまくって鬱とかにして自殺させるか復帰不能にして会社から追い出したりするからな。 まあこの構造のままじゃ、また同じことが起きるかもな。 というかこんなんじゃ7payは危なっかしくて使えないわ。 さっさと止めろやと。
6
トロア @09_kyuh 2019年7月5日
関係ない話、Slerってみんな何て読んでるの?
0
zyake @zyake 2019年7月5日
やすい下請け、外注にやらせてるのだから、それなりの品質でいざという時に頼りにならないのは仕方がない
0
nesi @41sb_nesi 2019年7月5日
chigintech マジでこれ。要件定義、基本設計を終えてるのに平気で後から要望が出てくる。しかも追加費用がかかります、とかリスケの必要があります、って言っても理解しない。「これくらい予算内期限内でできるでしょ?」って。下手すりゃ開発側の営業までその認識だからね。なあなあで期限や仕様が決まって、なあなあで構築されるシステム。そりゃ穴もできるわ。
4
片山 和紀 @night_wizard 2019年7月5日
まあ、多分納期ありきの無謀なスケジュール組んで、とりあえずあるものは使い回しでなんとか仕上げたという突貫工事の代物だというのは間違いないところだろうなぁ。とりあえず上流工程とか言う前にちゃんとコード書けるようになってからやれとは思う。
0
いるーか @iruka12go 2019年7月5日
納期が無茶だと、セキュリティやトラブル対応といった非機能要件が真っ先に疎かにされるという例。
1
hiroki @hiroki9981_game 2019年7月5日
下請けのベンダーなんて設計書通りに実装するだけで、設計自体に口出しできないもんな
1
トロア @09_kyuh 2019年7月5日
night_wizard アイだったのか…エルかと思ってました。ありがとうございます
1
キタムラシステム @kitasys 2019年7月5日
レオパレスみたいに、ただ単にまだ事故は起こってないだけ、というシステムならもっとあるだろうな。いまは建築基準や許可無しで誰でも家の設計ができるような状態
1
犬だよ @yaju5123 2019年7月5日
junki0526 監査部門は監査で独立(大体年次計画に基づいて監査) CSIRTは臨時のインシデント対応体制(チーム)の事なんで別物やで。ただ、情報資産やシステムが絡む場合は情報部門が監査に立ち会う事もあるっちゃある
2
showRR @showRR 2019年7月5日
これホントに日本社会の大問題。決定権のある人が決定する能力を持たない。とはいえ、現代社会の様々な事象を総括して把握できるダ・ヴィンチみたいな人が何人いるだろうか?普通の人間の認知能力には限界があることを前提にしたシステムを再構築する必要がある。法律、テクノロジー、アート全てに精通しかつ組織のリーダーに適応できるなんて奇跡なんだから
2
mikumiku_aloha @mikumiku_aloha 2019年7月6日
ボーイングのやらかしは酷いけど、「なぜそうなったのか?」の原因究明は誰がやらかしたレベルまで特定出来たみたいね。本件も原因究明がどのように説明されるか
0
KENNY @chaowatson 2019年7月7日
7payをいくら叩いてもお前の会社の待遇も給料も変わらないんだが、何に取り憑かれてるのかひたすらセキュリティが甘いと言い続ける輩が多い。 黙って二束三文のアプリ作って小銭稼いでろよ。
0
KENNY @chaowatson 2019年7月7日
41sb_nesi プログラマもSEもそれを文句言いながらなあなあで受けてるからだよ。 結果誰も自分の作るシステムにプライド持ってない。
0
ari3 @junki0526 2019年7月12日
yaju5123 いや、そう、わかってますよ。でも、監査部門がトラブル時に経営層に働きかけるようなことを書いてあるから、このまとめ作成者側が勘違いしてるのではと思っています。あと、社内のセキュリティ対策って監査部門ですかね?実際の状況は、セキュリティ部門がチェックして、監査部門(内部統制部門)にあげてるような。
0